Categories: Cisco DNA

インテントベース ネットワーキングと DNA Center

暑い日々が続きますが、いかがお過ごしでしょうか?去年から今年にかけて、シスコのエンタープライズネットワーキング関連で多くの製品やソリューションが発表されています。(おかげさまでとっても忙しいです!)

いずれも、スイッチやルータの単体機能追加やハードウェア性能の向上に加え、そられをどう使い、どう価値を生み出していくか、また、それらをいかに幅広く連携をしやすくするか、コストを下げることに貢献するか、など、ソリューションの様々な側面が全方位に拡がっており、エンジニアの守備範囲もますます拡がっている気がします。

本ブログでは、これまで取り組んできた SDN(Software Defined Networking)から、最近のキーワードの 1 つでもある IBN(Intent-Based Networking)への流れを、企業・組織向けネットワークの観点から振り返ってみることで、シスコの方向性を具体的に説明します!

「ソフトウェア定義型」から「意図主導型」へ

シスコは製品開発の柱となる考え方としてインテントベース ネットワーキング(IBN)を掲げ、企業・組織向けに具現化したコントローラ ソフトウェア製品として、DNA Center を開発し、販売しています。インテントベース ネットワーキングとは、日本語に訳すと、「意図主導型ネットワーキング」または「目的主導型ネットワーキング」となります。はて、どこかで見たような…。そうです。SDN!「ソフトウェア定義型ネットワーキング」と似ていますね。

  • インテント ベース ネットワーキング(意図 主導型 ネットワーキング)
  • ソフトウェア ディファインド ネットワーキング(ソフトウェア 定義型 ネットワーキング)

ソフトウェア定義型ネットワーキングでは、迅速に変化すべきネットワークポリシーやネットワークサービスを、個々のハードウェアやフォワーディングから切り離し、ソフトウェア上で一括で集中定義するといった、サービスと転送の分離の概念が明確に認識されました。それを実現するため、各社、さまざまな実装が行われ、技術者の間では方法論や実装を巡って、多いに盛り上がりました。

一方で、お客様や一部のインテグレータ様からは「SDNを導入したいが、ソフトウェアって何?SDNを使って何をすればいいの?」といった声も多く聞かれました。

お客様「SDNを導入したいんですが、どんな製品があって何ができますか?」

シスコ「SDNとは、ポリシーやサービスを個々のハードウェアから切り離すための方法論であり、何をしたいかはお客様自身の課題や解決したい目的そのものですよ。製品や実装も、規模や目的に応じて色々ご紹介できますが…」

お客様「うーん、そうですか。じゃあ目的って、何だっけな..」

シスコ「では、課題を整理して実現方法を評価検討しましょう!」

といった会話が多くなされていたように感じます。

SDN の目的は何だっけ? – インテント(意図・目的)

SDN の文脈から、以下のようなユースケースが浮かび上がってきました。

  • ネットワークで何が起こっているかの可視化をし、ベースラインを把握したい
  • ネットワークで何が起こっているかの可視化をし、MTTR(Mean Time To Repair)を大幅に短縮したい
  • ユーザや端末に応じて、ネットワークに自動的にポリシーを適用したい
  • ネットワークを仮想化・多重化して、利用効率(コスト効率)高めたい
  • 仮想ネットワーク上でのマイクロ セグメンテーションを行いたい
  • ネットワークで識別されたセキュリティ インシデントに対して、素早く対応したい
  • アプリケーションやサービスに対応したネットワーク ポリシーを、柔軟に変更できる仕組みを導入したい
  • 設置や故障交換時のコストや時間を大幅に削減したい
  • 従来のネットワーク管理ツールが難しすぎて、利用するには専門性が必要。SDNだともっと簡単に使えるのでは?
  • SDNによってネットワークがプログラミング言語で制御できるようになれば、外部アプリケーションと結合させ、さまざまな新しいことができる

「SDN化は、目的ではなく手段ですよ。」と言い続けたからかどうかはわかりませんが、ハードウェアから切り離されたソフトウェアで何をしたいのか、つまり顧客や利用者の「意図や目的(インテント)」が、明らかに以前に増して話題の中心になりました。迅速性・柔軟性を実現するための方法論を「HOW」とすると、そもそもの目的や意図のことを「WHAT」と表現できます。HOW から WHAT へ議論がシフトすることで、結果目線、ビジネス目線でネットワーク関連プロジェクトを捉えやすくなります。

これまで、企業・組織向けには APIC-EM(Application Policy Infrastructure Controller – Enterprise Module)というコントローラをゼロから開発し、意図・目的を技術要素に変換して自動適用する仕組みを提供してきました。

 

さらに、APIC-EM を強化し、コントロール(インテント)に加えて分析や監視要素(コンテクスト)を新たに統合した形で、DNA Centerが誕生しました(2017年12月に一般に販売開始)。

2017年12月から提供を開始した DNA Center のトップ画面(バージョン 1.2.2)

抽象化(Abstractions)によるインテントベース ネットワーキングの実現 – DNA Center

目的や意図を、迅速に、シンプルに実現するためのネットワークを、インテントベースネット ワーキングとよび、ネットワークの抽象化を通じて実現します。

抽象化にも粒度はさまざまです。一例を挙げると、装置の違いの抽象化(例:シスコ ルータとオープンソース ルータの操作の違いを吸収するコンソール作成)や、データ モデルの抽象化(例:リンク フラップのときに出力されるログのフォーマットを構造化された形で統一)、機能の抽象化(例:Vlan/VRF を設定してVXLAN で接続するセグメンテーションを隠蔽して GUI で簡単に設定させる)、などなど。

抽象度は高ければ高いほどいいし、抽象化する装置種別や機能種別も多ければ多いほどいいのですが、特に LAN/WAN の場合、既存の装置を活かした抽象化を考えると、公約数的な集約にならざるをえず、それぞれの装置のもつ機能の細かさと抽象化の度合いはトレードオフになります。ただし、それは悪いことではなく、ネットワークのもつ「よく使われるユースケース」をシンプルに操作できるようなインターフェイスを開発提供できるかどうか?が鍵になってきます。私も、過去に本ブログの中で、「企業ネットワーク・抽象化への取り組み」をまとめていますので、併せてご参照ください。

DNA Center では、抽象化の度合い(幅広いユースケース)とサポート対象機器(シスコの現行ルータ、スイッチ、無線 LAN に加え、他社装置をサポートするための仕組みも提供)のバランスを取りながら、実験ではなく実際のネットワークで使っていただけるように改善を重ねています。

特に、APIC-EM として開発したオートメーション(ポリシーによるインテントの自動適用)に加え、アシュアランス(コンテクストをネットワークから常時取得、相関分析を行いヘルススコアとして表現し、従来の障害検知・予兆検知を大幅に改良する仕組み)を統合しました。

DNA Center 内部では、オートメーションとアシュアランスが相互に連携して動作する。また、いずれも個々の機能要素(HOW)は抽象化され、ネットワークの目的/文脈(WHAT)に特化した実装になっている

 

いずれも、HOW の部分は極力抽象化され、「何が起こっているのか?何をしたい/すべきなのか?」を支援する実装になっています。また、内部でオートメーションとアシュアランスが相互に連携することで、最終的にはネットワーク運用の自動運転の姿を目指します。

DNA Center のアーキテクチャ

インテントベースネットワーキングの考え方と、APIC-EM 以前〜DNA Center にかけて、企業組織ネットワークでの取り組みを紹介しました。具体的な実装については、別の記事で紹介したいと思いますが、最後に DNA Center の内部構造を紹介します。

シスコの多くの製品開発部門は、現在はアジャイル/スクラムによる開発手法を採用していており、DNA Center も開発初期から完全に複数のスクラムチームに分かれて開発されています。それぞれのスクラムチームは、DNA Center の基盤部分や、制御系各種アプリケーション、分析アプリケーションなど、小規模単位に分かれており、DNA Center 内部でも個々のサービスが疎結合して動作する「マイクロ サービス」により構成されています。DNA Center 内部では、大量のコンテナが独立して動作し、Kubernetesを活用してオーケストレーションが行われる仕組みを取り入れています(よって、一台の DNA Center アプライアンスの場合でも、「シングルノードクラスタ」とよびます)。DNA Center の別の側面の強みは、こういったコンテナ基盤を採用することで、多くの新サービスパッケージ(機能)の追加やシステムバージョンアップは、DNA Center 全体を停止せずに行えること、各種利用状況や負荷に応じてリソースの動的な追加(コンテナの追加や負荷分散など)、水平的にスケールしていく技術基盤が整っていることなど、従来のネットワーク監視システムとは大きく異なるアーキテクチャにもあります。

もちろん、疎結合なマイクロ サービス アーキテクチャゆえに、DNA Center そのもののデバッグ手法が従来と異なったり、システムトータルの負荷状況の計算や予測が簡単ではなかったりという点もあります。抽象化されたシンプルなインターフェイスを提供することが目的ですが、やはりそれらを提供する「側」の仕事はなくなるわけではありません。使いこなして頂いて、価値を生み出していくためのツールとして積極的に活用していただけるように、引き続き詳しい情報をブログでも提供していきたいと思います。

参考

企業ネットワーク・抽象化への取り組み
https://gblogs.cisco.com/jp/2014/09/enterprise-network-abstraction/

【Interop Tokyo 2014】ネットワークの可視化と企業向けポリシー コントローラ (後篇)
https://gblogs.cisco.com/jp/2014/06/interop-2014-en-avc-2/

インテントベース ネットワーキングの次世代の進化:DNA Center プラットフォーム
https://gblogs.cisco.com/jp/2018/07/intent-based-networkings-next-evolution-the-dna-center-platform/

 

Kazumasa Ikuta

シスコシステムズ合同会社 APJアーキテクチャー プリンシパルアーキテクト。2001 年入社。エリア担当 SE、通信事業者担当 SE、SDN応用技術室を経て、2021年よりアジア太平洋地域アーキテクチャーセントラルグループ所属、プリンシパルアーキテクト。主に企業向けのネットワーク運用管理全般および製品、SDNやネットワークプログラマビリティ関連、Cisco DevNetを担当。提案、構築、運用維持管理における技術サポート、本社開発部門と連携したアジア地域での製品や技術のロールアウトプラン策定と実行、対外的なプレゼンテーションなど、仕事を選ばず幅広く活動中。書籍:Ciscoネットワーク構築教科書[解説編](共著)Ciscoネットワーク構築教科書[設定編](共著)Cisco WAN 実践ケーススタディ(共著)